web.xml之filter使用详解

        Servlet API的2.3版本中最重要的一个新功能就是能够为servlet和JSP页面定义过滤器。过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。

        过滤器是一个程序，它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上，并且可以检查进入这些资源的请求信息。在这之后，过滤器可以作如下的选择：

        1、以常规的方式调用资源（即调用servlet或JSP页面）。

        2、利用修改过的请求信息调用资源。

        3、调用资源，但在发送响应到客户机前对其进行修改。

        4、阻止该资源调用，代之以转到其他的资源，返回一个特定的状态代码或生成替换输出。

        过滤器只在与Servlet规范2.3版兼容的服务器上有作用。如果你的Web应用需要支持旧版服务器，就不能使用过滤器。

一、建立基本过滤器

      建立一个过滤器涉及下列五个步骤：

        1、建立一个实现Filter接口的类。这个类需要实现Filter接口的三个方法，分别是：init()、doFilter()和destroy()，doFilte()方法包含主要的过滤代码（见第2步），init方法初始化过滤器，而destroy方法进行清除。

        所有过滤器都必须实现javax.servlet.Filter。这个接口包含三个方法，分别为init()、doFilter()和destroy()。

               1>public void init(FilterConfig config) thows ServletException
               init()方法只在此过滤器第一次初始化时执行，不是每次调用过滤器都执行它。对于简单的过滤器，可提供此方法的一个空体，但有两个原因需要使用init()。首先，FilterConfig对象提供对Servlet环境及web.xml文件中指派的过滤器名的访问。因此，普遍的办法是利用init()将FilterConfig对象存放在一个字段中，以便doFilter方法能够访问Servlet环境或过滤器名。其次，FilterConfig对象具有一个getInitParameter方法，它能够访问部署描述符文件（web.xml）中分配的过滤器初始化参数。

               2>public void doFilter(ServletRequset request, ServletResponse response,FilterChain chain) thows ServletException, IOException

               每当调用一个过滤器（即每次请求与此过滤器相关的servlet或JSP页面）时，就执行其doFilter方法。正是这个方法包含了大部分过滤逻辑。第一个参数是与传入请求有关的ServletRequest。对于简单的过滤器，大多数过滤逻辑是基于这个对象的。如果处理HTTP请求，并且需要访问诸如getHeader或getCookies等在ServletRequest中无法得到的方法，就要把此对象构造成HttpServletRequest。第二个参数为ServletResponse。除了在两个情形下要使用它以外，通常忽略这个参数。首先，如果希望完全阻塞对相关servlet或JSP页面的访问。可调用response.getWriter并直接发送一个响应到客户机。其次，如果希望修改相关的servlet或JSP页面的输出，可把响应包含在一个收集所有发送到它的输出的对象中。然后在调用serlvet或JSP页面后过滤器可检查输出，如果合适就修改它，之后发送到客户机。doFilter()的最后一个参数为FilterChain对象。对此对象调用doFilter()以激活与servlet或JSP页面相关的下一个过滤器。如果没有另一个相关的过滤器，则对doFilter()的调用激活servlet或JSP本身。

               3>public void destroy( )
               此方法在利用一个给定的过滤器对象永久地终止服务器（如关闭服务器）时调用。大多数过滤器简单地为此方法提供一个空体，不过，可利用它来完成诸如关闭过滤器使用的文件或数据库连接池等清除任务。

        2、在doFilter()方法中放入过滤行为。doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息（包括表单数据、cookie和HTTP请求头）的完全访问。第二个参数为ServletResponse，通常在简单的过滤器中忽略此参数。最后一个参数为FilterChain，如下一步所述，此参数用来调用servlet或JSP页。

        doFilter()方法为大多数过滤器的关键部分。每当调用一个过滤器时，都要执行doFilter。对于大多数过滤器来说，doFilter执行的步骤是基于传入的信息的。因此，可能要利用作为doFilter的第一个参数提供的ServletRequest。这个对象常常构造为HttpServletRequest类型，以提供对该类的更特殊方法的访问。

        3、调用FilterChain()对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作为它的一个参数。在调用此对象的doFilter()方法时，激活下一个相关的过滤器。如果没有另一个过滤器与servlet或JSP页面关联，则servlet或JSP页面被激活。

        Filter接口的doFilter()方法以一个FilterChain对象作为它的第三个参数。在调用该对象的doFilter方法时，激活下一个相关的过滤器。这个过程一般持续到链中最后一个过滤器为止。在最后一个过滤器调用其FilterChain对象的doFilter()方法时，激活servlet或页面自身。但是，链中的任意过滤器都可以通过不调用其FilterChain的doFilter()方法中断这个过程。在这样的情况下，不再调用JSP页面的serlvet，并且中断此调用过程的过滤器负责将输出提供给客户机。

        4、对相应的servlet和JSP页面注册过滤器。在部署描述符文件（web.xml）中使用filter和filter-mapping元素。 

       部署描述符文件的2.3版本引入了两个用于过滤器的元素，分别是：filter和filter-mapping。filter元素向系统注册一个过滤对象，filter-mapping元素指定该过滤对象所应用的URL。

               1>filter元素

               filter元素位于部署描述符文件（web.xml）的前部，所有filter-mapping、servlet或servlet-mapping元素之前。filter元素具有如下六个可能的子元素：

               icon 这是一个可选的元素，它声明IDE能够使用的一个图象文件。

               filter-name 这是一个必需的元素，它给过滤器分配一个选定的名字。

               display-name 这是一个可选的元素，它给出IDE使用的短名称。

               description 这也是一个可选的元素，它给出IDE的信息，提供文本文档。

               filter-class 这是一个必需的元素，它指定过滤器实现类的完全限定名。

               init-param 这是一个可选的元素，它定义可利用FilterConfig的getInitParameter方法读取的初始化参数。单个过滤器元素可包含多个init-param元素。

               2>filter-mapping元素

               filter-mapping元素位于web.xml文件中filter元素之后serlvet元素之前。它包含如下三个可能的子元素：

               filter-name 这个必需的元素必须与用filter元素声明时给予过滤器的名称相匹配。

               url-pattern 此元素声明一个以斜杠（/）开始的模式，它指定过滤器应用的URL。所有filter-mapping元素中必须提供url-pattern或servlet-name。但不能对单个filter-mapping元素提供多个url-pattern元素项。如果希望过滤器适用于多个模式，可重复整个filter-mapping元素。

               servlet-name 此元素给出一个名称，此名称必须与利用servlet元素给予servlet或JSP页面的名称相匹配。不能给单个filter-mapping元素提供多个servlet-name元素项。如果希望过滤器适合于多个servlet名，可重复这个filter-mapping元素。

       5、禁用激活器servlet。防止用户利用缺省Servlet URL绕过过滤器设置。

示例：

用户只有登陆之后才能浏览resource目录下的资源，而这些resource的地址都是静态地址，这时候就用到了过滤器。

public void doFilter(ServletRequest req, ServletResponse res,FilterChain chain) throws IOException, ServletException {
   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;
   HttpSession session=request.getSession();
   ServletContext application=session.getServletContext();
   
   if(session.getAttribute("userSession")==null)
   {
       response.sendRedirect("error/priv_error.jsp");
       return;
   }
   else{
       chain.doFilter(request, response);
   }
 }

web.xml中如下配置：

<filter>
    <filter-name>PrivFilter</filter-name>
    <filter-class>com.myPriv.filter.PrivFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>PrivFilter</filter-name>
    <url-pattern>/resource/*</url-pattern>
</filter-mapping>

在过滤器程序中判断到resource目录下的请求的用户session是否为空，如果空的话就跳转出去。

二、过滤器的工作方式

       1、request过滤器

       这种过滤器的工作方式比较简单，大家也经常遇到，如下图所示：

        以下是web.xml文件配置方式：

<filter>
    <filter-name>myFilter</filter-name>
    <filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源一</servlet-name>
</filter-mapping>

        下面我们更改一下web.xml文件的配置，如下方式：

<filter>
    <filter-name>myFilter</filter-name>
    <filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源一</servlet-name>
</filter-mapping>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源二</servlet-name>
</filter-mapping>

        也就是说此过滤器对目标资源一和目标资源二都进行过滤，然后当目标资源一被访问的时候我们将请求转发给目标资源二，但实际过滤器是怎么工作的呢？

       当我们访问目标资源一时过滤器截取了请求，然后再转发给目标资源一，然后再转发给目标资源二。但我们已经在web.xml文件中配置了该过滤器对目标资源二的过滤，为什么又没有起到过滤作用呢？
       答案就在于：目标资源一是客户端直接访问，而目标资源二是被转发过来的，这时过滤器就不能过滤目标资源二。如果你直接访问目标资源二，你会发现该过滤器起到了作用。

       我们上面的web.xml文件配置与以下方式等价：

<filter>myFilter</filter>
    <filter-name>myFilter</filter-name>
    <filter-class>xx.MyFilter</filte-class>
</filter>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源一</servlet-name>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源二</servlet-name>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

        这种方式的配置，说明只有直接访问该目标资源时该过滤器才会起作用，对转发到该目标资源的请求将忽略不处理。那如果想对转发到目标资源二的请求进行过滤，那怎么办呢？答案是forward过滤器。

        

        2、forward过滤器

        我们将web.xml文件的配置修改如下：

<filter>myFilter</filter>
    <filter-name>myFilter</filter-name>
    <filter-class>xx.MyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源一</servlet-name>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源二</servlet-name>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>

        资源二过滤方式为forward，也就是说对转发到目标资源二的请求过滤，如果直接访问目标资源二，过滤器将不起作用。

        3、include过滤器

<filter-mapping>
    <filter-name>myFilter</filter-name>
    <servlet-name>目标资源二</servlet-name>
    <dispatcher>INCLUDE</dispatcher>
</filter-mapping>

        这种方式表示对包含了目标资源二的请求过滤，如果直接访问目标资源二，则此过滤器将不起作用。

        include包含以下语句：

        在JSP页面中的动作：<jsp:include page=.......

        在Java代码中的request.getRequestDispatcher("....").include

        注意：如果目标资源一通过<%@ include file="目标资源二"%>指令包含，这时此过滤器不工作。（指令包含与动作包含）

        4、error过滤器

        当我们访问一个web目标资源时，如果服务器没有找到该目标资源，那么服务器就会给出一个404错误代码。如果我们给404错误代码定义一个页面，那么当404错误发生时就会调用该页面，请看以下web.xml文件的配置：

<filter-mapping>
    <filter-name>myFilter</filter-name>
    <url-pattern>/error.jsp</url-pattern>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>
<error-page>
    <error-code>404</error-code>
    <location>/error.jsp</location>
</error-page>

       当我们访问一个不存在的文件时，就会访问error.jsp，但是配置了过滤器对错误页面进行过滤，所以过滤器先接受到请求，然后再转发给error.jsp。

       如果我们访问一个已经存在的页面，会不会调用error.jsp呢？如果这个页面中有response.sendError(404,"出错了！");那么该错误页面仍然会被调用，过滤器也会工作。

三、Filter的应用场景

   通过对filter过滤器的了解，可以得知在以下三种情况下可以做些处理：

        1、通过控制对chain.doFilter()的方法的调用，来决定是否需要访问目标资源。比如，可以在用户权限验证等等。判断用户是否有访问某些资源的权限，有权限放行，没权限不执行chain.doFilter方法。

        2、通过在调用chain.doFilter方法之前，做些处理来达到某些目的。比如，解决中文乱码的问题等等。可以在doFilter方法前，执行设置请求编码与响应的编码。甚至可以对request接口进行封装装饰来处理get请求方式的中文乱码问题(重写相应的request.getParameter方法)。

        3、通过在调用chain.doFilter()方法之后，做些处理来达到某些目的。比如对整个web网站进行压缩。在调用chain.doFilter方法之前用类A对response对象进行封装装饰，重写getOutputStream和重写getWriter方法。在类A内部中，将输出内容缓存进ByteArrayOutputStream流中，然后在chain.doFilter方法执行后，获取类A中ByteArrayOutputStream流缓存数据，用GZIPOutputStream流进行压缩。

四、Filter实现拦截的原理

      Filter接口中有一个doFilter方法，当开发人员编写好Filter类实现doFilter方法，并配置对哪个web资源进行拦截后，WEB服务器每次在调用web资源的service方法之前(服务器内部对资源的访问机制决定的)，都会先调用一下filter的doFilter方法。

五、Filter生命周期

        1、和Servlet一样，Filter的创建和销毁也是由WEB服务器负责。不过与Servlet区别的是：

              在应用启动的时候就进行装载Filter类(与Servlet的load-on-startup配置效果相同)。

        2、容器创建好Filter对象实例后，调用init()方法。接着被Web容器保存进应用级的集合容器中去了等待着，用户访问资源。

        3、当用户访问的资源正好被Filter的url-pattern拦截时，容器会取出Filter类调用doFilter()方法，下次或多次访问被拦截的资源时，Web容器会直接取出指定Filter对象实例调用doFilter方法(Filter对象常驻留Web容器)。

        4、当应用服务被停止或重新装载了，则会执行Filter的destroy方法，Filter对象销毁。

       注意：init方法与destroy方法只会直接一次。

六、Filter部署应用注意事项 

        1、filter-mapping标签中servlet-name与url-pattern。

              Filter不仅可以通过url-pattern来指定拦截哪些url匹配的资源。而且还可以通过servlet-name来指定拦截哪个指定的servlet(专门为某个servlet服务了，servlet-name对应Servlet的相关配置)。

        2、filter-mapping标签中dispatcher。

              指定过滤器所拦截的资源被 Servlet 容器调用的方式，可以是REQUEST,INCLUDE,FORWARD和ERROR之一，默认REQUEST。用户可以设置多个<dispatcher> 子元素用来指定 Filter 对资源的多种调用方式进行拦截。

              REQUEST：

              当用户直接访问页面时，Web容器将会调用过滤器。如果目标资源是通过RequestDispatcher的include()或forward()方法访问或ERROR情况时，那么该过滤器就不会被调用。

              INCLUDE：

              如果目标资源是通过RequestDispatcher的include()方法访问时，那么该过滤器将被调用。除此之外，该过滤器不会被调用。

              FORWARD：

              如果目标资源是通过RequestDispatcher的forward()方法访问时，那么该过滤器将被调用，除此之外，该过滤器不会被调用。

              ERROR：

              如果在A.jsp页面page指令中指定了error属性=examError.jsp，那么A.jsp中若出现了异常，会跳转到examError.jsp中处理。而在跳转到examError.jsp时，若过滤器配置了ERROR的dispather那么则会拦截，否则不会拦截。